长亭百川云 - 文章详情

安全设备篇——WAF

这小子嘴硬

79

2024-04-17

WAF(Web应用层防火墙),顾名思义,既然带着个防火墙,就是阻断型的安全设备了。Waf也是常见的安全设备之一,用于暴露面web的防护,刚好前段时间很多博主也在狂吹雷池,这篇文章刚好借着雷池就探讨一下WAF这类安全设备的应用。

  • 雷池WAF测试

随手开个http,雷池后台挂个代理:(截图有些是后边补的,端口对不上是正常的)

经典1=1:

拦截正常

冰蝎马路径:

这里只有php、aspx马子会被拦截,要是换个jsp或者别的又能访问到了。不过也正常,这是waf而已又不是终端安全设备。

再加个Dirsearch扫一下目录:

但是这里比较雷的事情发生了:

别的帖子用awvs扫会阻拦,我这懒得开工具机就拿goby浅浅试了试(1000+poc版),没有拦截,只记录的访问数,但是可以后台设置访问数过大拦截的,也算找补回来了吧,毕竟那么多扫描器,各种大杀器小玩具,拦截一开就图一乐。

这里也放上后台的攻击拦截:

这期主要是解读解读waf,也不过分研究雷池的功能呢,总的来说确实是很不错的项目,算是市面上很优秀的waf了,对中小型web来说实用性极高,防护到位,清晰明了、简单,不像某些花里胡哨的厂家的设备(我谁也没有说!),光注重了界面的华丽,实则一塌糊涂...

言归正传,从以上测试可以看出,WAF功能为拦截web端的攻击。

  • 攻击类型

  • 注入型攻击

绝大部分的waf主要拦截的攻击类型为注入型攻击。SQL注入依赖提交参数的过滤不严格

,这类攻击waf通过检查参数就能分辨,很多师傅发现可能存在的SQL注入漏洞后最头疼的也是绕waf。另一个例子是xss,xss离不开标签和<>,对正常需求的web来说一般不会在输入框内有这样的需求,也是比较容易能识别出来的一类攻击。

  • 请求检查(head或者cookie一类包含在请求头内的)

这类防护主要针对请求路径、cookie、甚至请求方法和代理等进行检查来辨识威胁。

  • 规则库

Waf实际上也是包含了IDS模型的,通过规则库进行威胁防护,而waf的规则库一般分为预置规则库和自定义规则库两种:

  • 预置规则库

由厂家预置的攻击判断规则,说简单点网上那些什么SQL注入payload、xss语句、一句话木马这种谁都知道的肯定包括在里面了,一般也是不断更新的,现在厂家都有自己的威胁情报来源,从安全性上来说还是相对可靠的。

  • 自定义规则库

主要针对自身需求,假客户的web是完全外包开发,自身无修改代码的能力,但是确认某个参数或者框框、请求等存在漏洞,这时候加个自定义规则就可以做限制了,安全又省事儿。

  • 黑/白名单

因为预置规则库肯定是不可能完全不出错的,很有可能就误报拦截了某个业务IP,临时加白是解决措施之一;黑名单就不用多说了,发现威胁IP即封禁,也是防止预置规则库未生效的后手手段之一,这也是waf的黑白名单和防火墙的黑白名单区别之一。

  • 总结

这期没有总结,over。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2